Wireless rendszerek hatékonysági vizsgálatai

Átírás

1 Debreceni Egyetem Informatikai Kar Wireless rendszerek hatékonysági vizsgálatai Témavezető: Készítette: Dr. Sztrik János Zelerik Attila tanszékvezető egyetemi tanár mérnök informatikus a MTA doktora Debrecen 29

2 Tartalomjegyzék Tartalomjegyzék Köszönetnyilvánítás Bevezetés A fizikai környezeti adottságok, hálózati követelmények Környezet leírása Hálózat működésével szemben támasztott követelmények... 8 Az IEEE 82.11g szabvány szerinti adatátvitel ismertetése Vezeték nélküli adatátviteli szabványok általános ismertetése IEEE 82.11g... 1 A hálózat kiépítéséhez felhasznált aktív eszközök Megrendelő által támasztott követelmények Vezeték nélküli hálózat kialakításához szükséges eszközök Wireless roaming Wireless kliens folyamatos hálózati kapcsolata Roaming mechanizmusok Roaming helyi implementációja... 2 Wifi RF csatornák RF csatorna kiosztás 2.4 GHz-en A 2,4 GHz-es sáv távközlési használata Területek lefedése WiFi cellákkal Sávszélesség változása a távolság függvényében Területi lefedettség helyi implementációja AP-k elhelyezése A rádiófrekvenciás csatornák kiosztása

3 8 A hálózattal szemben támasztott biztonsági kritériumok WEP A WEP működése WEP hibái i A vezeték nélküli hálózatok biztonságáról általában (történelmi áttekintés) A vezeték nélküli adatátvitel biztonsága Hálózati beállítások Meglévő hálózati topológia Új eszközök címkiosztása Egyéb a biztonságos üzemeltetést szolgáló intézkedések Összegzés Irodalomjegyzék Függelék

4 1 Köszönetnyilvánítás 1995 óta foglalkozom az informatikával. Vezetékes távközlési technikus végzettséggel kezdtem a pályámat egy informatikai vállalkozásnál. Abban az időben főként arcnet hálózatokat üzemeltettünk és kicsit később kezdtük el az ethernet hálózatok építését. Eleinte koaxiális ethernet kábelekkel, majd csavart érpáras technológiával létesítettük a hálózatokat. 2 től optikai hálózatokat is építünk ragasztott és hegesztett technológiával egyaránt. A Debreceni Egyetemen megszerzett tudás nagymértékben hozzájárult ahhoz, hogy az eddigiekben főként tapasztalati úton összeszedett szakmai hátteret mélységeiben megértsem, a jövőben még jobban alkalmazni tudjam. A korábbi ismereteim alapján nagyjából tisztában voltam azzal, hogy egy hálózatot hogyan kell kiépíteni, most már azt is tudom, hogy miért úgy. Köszönetet mondok Dr. Sztrik János professzor Úrnak a dolgozatom témavezetéséért és a valószínűségszámítás rejtelmeinek megismertetéséért. Az egyetemi oktatóimnak, akik közreműködésükkel elősegítették a szakmai fejlődésemet. Külön köszönet a Mondi Bags Hungária Kft nek, Lelesz Miklós gyárigazgató Úrnak, aki lehetővé tette, hogy az üzemük területén lévő informatikai rendszerekhez hozzáférjek. 3

5 2 Bevezetés Napjaink infokommunikációs hálózatait egyre inkább a sokszínűség, a heterogenitás jellemzi. A felhasználók adatátviteli szükségleteinek kiszolgálására ma már számos különböző technológia és átviteli közeg (például réz érpár, koaxiális kábel, fényvezető szál, szabad tér) áll rendelkezésre. Az infokommunikációs hálózatok elektronikus tartalmak elérésére és elérhetővé tételére szolgálnak. Habár - úgy a hálózati technológiák (átviteli közegek, kommunikációs technikák), mint a felettük megvalósított szolgáltatások (specifikus erőforrásigények és minőségi követelmények szempontjából) - alapvetően inhomogének, egyre erőteljesebbé válik az a törekvés, hogy bármilyen szolgáltatást képesek legyünk bármilyen hálózati környezetben biztosítani, a felhasználó számára transzparens módon. Dolgozatomban a fent felsorolt közegek közül a szabad térben mint fizikai közegben megvalósított infokommunikációs hálózatokkal foglalkozom behatóbban. A vezeték nélküliség számos pozitív tulajdonsággal bír, melyek közül talán a legfontosabb a mobilitás. Mármint hogy a felhasználó bizonyos körülhatárolt (lefedett) területen belül szabadon mozoghat, nincs vezetékkel odaláncolva a hálózati csatlakozóhoz. De ennek bizony ára van. Mégpedig az, hogy a sávszélesség erősen korlátozott a vezetékes technológiákhoz képest. A továbbiakban egy létező ipari telephelyen lévő alapanyag raktárban és üzemcsarnokban kiépítendő vezeték nélküli hálózat megtervezéséről, megvalósításáról, a kész hálózat hatékonysági vizsgálatairól lesz szó. A megrendelő cég egy komplett termelés-irányítási rendszert helyez üzembe, aminek szerves része az alapanyag, és a készáru folyamatos nyomon-követése. A cég papírzsákokat-, zacskókat gyárt. Az alapanyagok 4 5 tonnás papírtekercsek, amelyek egy két részre osztott alapanyagraktárban vannak tárolva. A termelésirányító rendszer része néhány mobil adatgyűjtő, amelyeket a - papírtekercseket és a készárut mozgató - targoncás személyzet kezel. Emiatt szükséges a vezeték-nélküli hálózat kiépítése, mivel semmilyen módon nem lehetséges a felmerülő igényt vezetékes környezetben kielégíteni. 4

6 3 A fizikai környezeti adottságok, hálózati követelmények 3.1 Környezet leírása Dolgozatomban a Mondi Bags Hungária Kft. Nyíregyházi telephelyén kialakításra kerülő vezeték nélküli hálózat megtervezéséről, kiépítéséről, hatékonysági vizsgálatairól lesz szó. A megrendelő telephelyén SAP ISCA rendszer kerül bevezetésre, ami a komplett termelési folyamatot nyomon követi. Az alapanyag bevételétől a termelési folyamatokon át egészen a készáru kiszállításáig. Emiatt szükséges az áruk mozgásának nyomon követése, amelyet Symbol mobil adatgyűjtőkkel kívánják megvalósítani. A mobil adatgyűjtők részére folyamatos kapcsolatot kell biztosítani az adatbázis-szerverrel az adatok konzisztenciája miatt. Ezt az adatkapcsolatot kizárólag vezeték nélküli hálózattal lehet megvalósítani. A megrendelő részéről a következő területek lettek kijelölve a vezeték nélküli lefedettség kiépítésére: alapanyagraktár bejárata (ahol a papírtekercseket beszállítják a raktárba), a teljes alapanyagraktár, az üzemcsarnok alapanyag behordási szakasza, az üzemcsarnok készáru kihordási szakasza, a teljes készáru raktár. A tervezés folyamán nagy figyelmet kell fordítani arra, hogy az alapanyagraktárban tárolt áru mennyire befolyásolja a rádiófrekvenciás jelek terjedését. Mivel az alapanyagraktárban nagyméretű (átlagban 1,5m átmérőjű, 1,5m magas) papírtekercsek vannak egymáson (5-6 magas rakatokban) tárolva, azok komoly árnyékolást okoznak a jelek terjedésében. 1. ábra Alapanyagraktár 5

7 2. ábra Alapanyagraktár a papírtekercsekkel A hálózat tervezésének folyamatát helyszíni bejárással kezdtem. Méréseket végeztem a rádiófrekvenciás jelek terjedésével kapcsolatban. A mérések folyamán 1 db Cisco AIRAP1242AG-E-K9 AP t használtam, továbbá NetStumbler.4. szoftvert futtató mobil számítógépet. A mérések folyamán arra a következtetésre jutottam, hogy a hálózattal lefedni kívánt területre 1 db Access Point felszerelése szükséges. 6

8 3. ábra Az üzem alaprajza 7

9 3.2 Hálózat működésével szemben támasztott követelmények A raktárakban és az üzemcsarnokban a hálózatnak úgy kell működni, hogy az épületek (megrendelő által kijelölt épületrészek) bármelyik pontján legyen kellő wifi lefedettség az adatgyűjtők üzembiztos működéséhez. Emiatt az IEEE 82.11g szabványt vettem figyelembe a tervezés folyamán. Az IEEE 82.11g szabvány szerint az adatátvitel 2.4 GHz frekvencián történik. A vezeték nélküli adatátviteli szabványok közül ez felel meg leginkább a fizikai adottságok miatt. A megrendelő által megadott információk alapján az IEEE 82.11g szabványban megadott maximális adatátviteli sebesség figyelembe véve az ISCA rendszer által megkövetelt sávszélességet bőségesen elegendő a biztonságos működéshez. 4 Az IEEE 82.11g szabvány szerinti adatátvitel ismertetése 4.1 Vezeték nélküli adatátviteli szabványok általános ismertetése Az IEEE egy vezeték nélküli adatátviteli protokoll. Az OSI modell két legalsó rétegét, a fizikai és az adatkapcsolati réteget definiálja. Fizikai réteg szempontjából három lehetőséget határoz meg: IR infravörös - közvetlen rálátásra van szükség, csak beltérben használható, sebesség max. 2 Mb/s FHSS (Frequency Hopping Spread Spectrum) frekvenciaugrásos szórt spektrum, 2,4 GHz DSSS (Direct Sequence Spread Spectrum) 5 GHz, redundancia a kódban (Barker sequence) 1999-ben megjelent a 82.11b szabvány, amely az előző továbbfejlesztett változata volt. Az adatátviteli sebesség egy új modulációs technikának (CCK) köszönhetően 11Mbps-ra növekedett, és a csatorna hozzáférés direkt-sorrendűre változott (DS). A 82.11b kisebb sebességre kapcsolt az adó és vevőegységek távolságának növekedésével, és jóval nagyobb sebességének köszönhetően pár év alatt kiszorította az FHSS rendszereket. Érdekes volt, hogy ezzel egyidejűleg, szintén 1999-ben ratifikálták az 5GHz-es tartományban működő 82.11a protokollt, amely már ekkor 54Mbps-os sebességet produkált, az újonnan kifejlesztett OFDM moduláció alkalmazásával. 8

10 A vezetékes világgal egy nagyságrendben lévő adatátviteli sebesség ellenére a 82.11a rendszerek mind a mai napig nem terjedtek el. Ennek egyik oka az 5GHz-es tartomány korlátozott hozzáférhetősége a katonai radarok hasonló frekvenciái miatt, másrészt 23 folyamán megjelent a 82.11g szabvány, amely az OFDM moduláció alkalmazásával megsokszorozta a 82.11b rendszerek sebességértékét, elérve ebben a frekvenciasávban is az 54Mbps-os értéket. Az új szabvány különlegessége volt a b rendszerrel történő kompatibilitás. A gyakorlatban ez azt jelenti, hogy a 82.11g eszközök automatikusan felismerik és hozzákapcsolódnak a 82.11b elérési pontokhoz, és fordítva, a régi 82.11b eszközöket felismerik az új 82.11g cellák. A LAN egy celluláris architektúrára épül, ahol a rendszer cellákra van osztva. Az egyes cellákat (Basic Service Set, röviden BSS-nek nevezik a terminológiában) bázisállomások irányítják, melyeket hozzáférési pontnak (Access Point, AP) hívunk. Bár egyetlen cellából is állhat a vezeték nélküli LAN, leggyakrabban néhány cellából álló rendszereket valósítanak meg, ahol a hozzáférési pontok valamilyen gerinchálózaton, elosztórendszeren (Distribution System) keresztül kapcsolódnak egymáshoz. Logikailag elkülönül a BSS-en belül használt átviteli közeg az elosztórendszer átviteli közegétől, ez a kulcsa az architektúra rugalmasságának. A gerinchálózat általában Ethernet, de maga is lehet vezeték nélküli. A teljes összekapcsolt WLAN beleértve a különböző cellákat, a hozzájuk tartozó hozzáférési pontokat és az elosztórendszert a felsőbb rétegek számára egy egyszerű 82-es (Ethernet) hálózatnak látszik és a szabványban Extended Service Set-ként van meghatározva. A vezeték nélküli LAN-ok két alapvető konfigurációja az ad-hoc és az infrastruktúra hálózat. Ad-hoc, amikor köztes access-point nélkül, csupán a mobil eszközök kapcsolódnak egymáshoz, míg az infrastruktúra hálózatoknál a mobil eszközök access-pointokhoz csatlakoznak, és azon keresztül érik el a hálózat egyéb csomópontjait. 9

11 4.2 IEEE 82.11g Ezt a protokollt 23-ban fejlesztették ki. Célja az volt, hogy a már adott 2.4 GHz-es frekvenciatartományban az elődeinél (82.11, 82.11b) nagyobb adatátviteli sebességgel bírjon. A 82.11g-nek ugyanaz az ISM hatásköre/hatótávolsága, mint a 82.11b-é, de más moduláció sémát használ, amit Orthogonal Frequency Division Multiplexing (OFDM-nek) hívnak. Maximális adatátviteli sebessége 54 Mbps, de használható 22 Mbps teljesítménnyel és vissza tud esni 11 Mbps DSSS-re vagy lassabbra a visszább lévő kompatibilitásúakra az eddigi legnépszerűbb 82.11b-ére. OFDM moduláció: Orthogonal Frequency Division Multiplex, sok független, keskenysávú vivőfrekvenciát alkalmazó moduláció. Minden egyes vivőfrekvencia tetszőleges PSK vagy QAM jellel modulálható. Az OFDM-et gyakran DMT-nek (discrete multitone modulation = diszkrét sokhangú moduláció) is nevezik. 4. ábra OFDM spektrumképe Előnyös tulajdonságai: - Egyenletesen használja ki a rendelkezésre álló sávszélességet. - Átlapoltság megengedett, ezáltal ugyanakkora sávszélességben egyetlen modulált vivőhöz képest dupla mennyiségű adat vihető át OFDM-el. - Időnként ismert szimbólumot átvíve felmérhetjük a csatorna pillanatnyi torzítását, adaptív algoritmusokkal korrigálhatunk. Ez többutas terjedés és ionoszférán keresztüli átvitelnél nagyon fontos. - DSP-technika egyre olcsóbb. Fourier transzformáció mára már alapvető algoritmus. 1

12 5 A hálózat kiépítéséhez felhasznált aktív eszközök 5.1 Megrendelő által támasztott követelmények A Mondi Bags Hungária Kft. nyíregyházi telephelyén a jelenleg működő vezetékes hálózathoz kell csatlakoztatni a kiépítendő vezeték nélküli hálózatot. A szerverszoba az üzemcsarnok északi oldalának a nyugati harmadában helyezkedik el. A vezetékes hálózatot ellátó központi Rack szekrény a szerverszobában található. Jelenleg 3 db Cisco switch látja el a számítógépeket. Ezek a switch-ek 1 Gb/s-os linkekkel vannak egymással láncba kötve. Az üzemcsarnok és a készáru raktár lefedettségét biztosító access-pointok számára még van elegendő szabad port a meglévő switcheken és az access-pointokat el lehet úgy helyezni, hogy azok a 1 méteres 1 Mb/s csavart érpáras ethernet határon belül helyezkedjenek el. Az alapanyagraktárba és a feldolgozó csarnok keleti részébe telepítendő access-pointok hálózatba kötéséhez egy új Rack szekrényt kell beépíteni az üzemcsarnok északi falának keleti harmadába, mivel nagyjából itt lesz a vezeték nélküli hálózat közepe. Ebbe a Rack szekrénybe kerül beépítésre 1 db Cisco WS-C296G-24T CL switch, ami optikai 1 Gb/s linken csatlakozik a szerverszobában lévő központi switch ekhez. Ebben a Rack-ben helyezik el az ide csatlakozó access-pointok POE tápforrásait is. 5.2 Vezeték nélküli hálózat kialakításához szükséges eszközök A vezeték nélküli hálózatot 1 db Cisco AIR-AP1242AG-E-K9 típusú hozzáférési pont (AP) felhasználásával alakítjuk ki. 5. ábra Cisco AIR-AP1242AG-E-K9 11

13 A hozzáférési pontok mindegyikére 2 db Cisco AIR-ANT 4941 antennát szerelek fel a biztonságos lefedettség elérésének érdekében. 6. ábra Cisco AIR-ANT 4941 Az üzemcsarnokban kialakított Rack szekrénybe kerül 1 db Cisco Catalyst 296G -24TC-L switch. 7. ábra Cisco Catalyst 296G-24TC-L Az access-pointok tápfeszültség ellátása Cisco AIR-PWRINJ3 power injectorok segítségével történik távolról a Rack szekrényekből POE technológiát felhasználva. 8. ábra Cisco AIR-PWRINJ3 12

14 A Wi-fi hálózathoz a felhasználók 11 db Symbol MC99-GJHBEGA2WR típusú kézi, vonalkód olvasóval ellátott adatgyűjtő számítógéppel fognak csatlakozni. 9. ábra Symbol MC99-G Scanner Symbol MC99- GJHBEGA2WR paraméterei röviden: Wireless Gun Terminal: 82.11a/b/g, Extended Range Laser (Lorax), Color, 64MB, 53 key, Windows CE 5., Bluetooth. RoHS. 13

15 6 Wireless roaming 6.1 Wireless kliens folyamatos hálózati kapcsolata A Megrendelő által behatárolt területek vezeték nélküli hálózattal történő lefedéséhez 1 db Access Pointot kell telepíteni. Ennyivel biztosítható a hálózat üzemszerű működése. Azonban elengedhetetlen a kliensek mozgása sőt a kliensek mozgásán van a fő hangsúly a megadott területen. Emiatt az AP k között roamingolniuk kell a klienseknek. 6.2 Roaming mechanizmusok A vezeték nélküli LAN-ok lehetővé teszik, hogy a csomópontok a vállalati hálózathoz virtuálisan kapcsolódjanak. A cellaváltás (roaming) olyan időben lejátszódó folyamat, amely során a mobil terminál egyik kiszolgáló AP-bázisállomástól egy másik AP-ra csatlakozik rá. Adatkapcsolati (L2) roamingról beszélünk, ha a folyamat azonos alhálózatba tartozó AP-k között történik. 1. ábra L2 és L3 roaming 14

16 Ha a terminál másik alhálózatba tartozó új AP-hoz csatlakozik, akkor hálózati (L3) roamingról beszélünk. Hálózati cellaváltás az adatkapcsolati roaming sikeres lezajlása után következhet be. A cellaváltás mindig a terminál döntésén alapul, amelynek feladata a lehetséges bázisállomások felderítése, az ezekhez tartozó paraméterek értékelése, majd a lehetséges cellák közül az új kiválasztásának eldöntése. Az adatkapcsolati cellaváltás az alábbi fázisokat foglalja magába: 1) A terminál az A cellából elmozdul a B cellába. A bázisállomások ugyanabban az alhálózatban vannak, így L2 roamingról beszélünk. Ahogy a terminál kilép az A cellából, az AP A bázisállomással fennálló kapcsolat paraméterei közül valamelyik átlépi a megadott küszöbértéket, s ez kiváltja a roaming folyamat indítását. 2) A kliens végigelemzi az összes IEEE es csatornát, lehetséges bázisállomást keresve. Megtalálja az AP B -t, lezajlik a fizikai rádiós csatornán a hitelesítés és az asszociáció folyamata. 3) Az AP B a kliens alhálózatába egy nulla tartalmú multicast üzenetet küld, amelynek forrás fizikai címe éppen a mobil terminál címével egyezik meg. Ez alapján a huzalos LAN hálózatban található switch-ek frissítik kapcsolási táblájukat. Így a terminálnak címzett Ethernet keretek ezután nem az AP A, hanem az AP B bázisállomáshoz kerülnek. 4) Az AP B a saját forrás MAC címével küld egy multicast üzenetet, amelyben értesíti az alhálózat összes bázisállomását arról, hogy az adott MAC című terminál hozzá asszociált. Ahogy az AP A ezt megkapja, törli a mobil terminál MAC címét az asszociációs táblájából. 15

17 11. ábra L2 roaming lépései A roaming folyamatot mindig a kliens kezdeményezi, de a folyamatra vonatkozóan még nem létezik IEEE szabvány. A Cisco gyártmányú terminálok esetében az alábbi események váltják ki a roaming folyamat indítását: a) Maximális csomagküldés próbálkozási szám átlépése. Ha a kliens a maximum data retry-ként megadott számú próbálkozás után sem tudja a csomagot elküldeni, elindítja a roaming folyamatot. A Cisco Aironet kliensben ez az érték alapértelmezés szerint 16, és az Aironet Client Utilityben állítható. b) Túl sok bacon kihagyása. Minden, bázisállomáshoz társított kliensgép periodikusan kap bacon keretet. Alapértelmezésben 1 milliszekundumonként küld bacon -t a bázisállomás. Ez a periódus egyben konfigurációs paraméter is. A terminál a bacon -ben található érték alapján megtanulja annak periódusát. Amennyiben a terminál nyolc periódus ideig nem kap bacon -t, kezdetét veszi a roaming folyamat. A beérkező bacon -ök folyamatos figyelésével még egy idle állapotban levő kliens is képes érzékelni a vezeték nélküli kapcsolat minőségének romlását, majd pedig roamingot kezdeményezni. 16

18 c) Átviteli ráta váltása. Normál esetben a rádiós keretek átvitele a bázisállomás alapértelmezett adatátviteli sebességével történik. Ez a ráta a legmagasabb átviteli sebesség, amelyet required vagy enable paraméterként lehet az AP-n beállítani. Minden olyan alkalommal, amikor egy csomagot alacsonyabb sebességgel kell újraküldeni, a retransmit számláló hárommal növekszik. Minden olyan csomag esetében, amikor az alapértelmezett átviteli sebességgel sikerült a továbbítás, ez a számláló eggyel csökken egészen addig, míg a nulla értéket el nem éri. Amennyiben a számláló eléri a 12-es felső határt, az alábbi események valamelyike következik be: Ha a kliens nem hajtott végre cellaváltást az elmúlt 3 másodpercben, akkor bekövetkezik a gyors cellaváltás (fast roaming). Ha az említett időn belül roaming-ot hajtott vége, akkor eggyel alacsonyabb fokozatra csökkenti az átviteli rátát. Az alapértelmezett átvitelnél alacsonyabb rátájú sikeres átvitel esetén, egy rövid idő elteltével ismét visszaugrik az eggyel magasabb sebességű üzemmódba. d) Periódikus kliens intervallum (opcionális). A Cisco Aironet v6.1-től kezdve konfigurálni lehet, hogy a mobil terminál milyen gyakorisággal, illetve milyen jelerősség mellett keressen jobb vételi minőségű bázisállomást. Ezekkel a beállításokkal a terminál egy jobb térerejű bázisállomást fog keresni feltéve, hogy az alábbi feltételek mindegyike teljesül: A terminál már legalább 2 másodperce asszociált az aktuális AP-hoz. Ez a feltétel megakadályozza, hogy a kliens túl gyorsan kapcsoljon a bázisállomások között. Érvényes értékek másodperc. A térerősség 5%-nál gyengébb. Érvényes intervallum: -75%-ig. e) Kliens inicializáció. A terminál bekapcsolásakor és újraindításakor lezajló folyamat. A roaming folyamathoz új bázisállomás keresése szükséges. Ennek érdekében a terminál a rádiós csatornákon scan technika segítségével meghatározza az elérhető bázisállomások listáját, amelyből a legjobbat választja ki. A scan technika csatornánként egy-egy probe teszt üzenet küldését jelenti, amire probe válasz vagy bacon érkezik a csatornán üzemelő bázisállomástól. 17

19 Az AP-tól érkező bacon -öket csak akkor veszi figyelembe a kliens, ha az SSID és a titkosítási beállítások megegyeznek. A keresés befejezése után a listából kiválaszt egy bázisállomást, hogy az elérési paramétereit összehasonlítsa a lista többi tagjával. Ha a terminál kezdeti start-up fázisban van, akkor az új AP a listában elsőként szereplő tag lesz; ha a terminál roaming fázisban van, akkor az új AP a korábbi marad amennyiben válaszolt a teszt probe keretekre. Válasz hiánya esetén a lista első tagja lesz az új AP. Az aktuális AP a lista többi elemével összehasonlításra kerül. Ahhoz, hogy egy tag új AP lehessen, minden listabeli AP-nak az alábbi szempontokat kell teljesítenie: A potenciális cél AP jelerőssége legalább 2%. Ha a térerő több mint 2%-kal gyengébb, mint az aktuális AP térereje, akkor legalább 5% jelerősséggel kell rendelkezzen. Ha a potenciális cél AP repeater módban van, és több rádió hop-ra van a gerinchálózattól, mint az aktuális AP, akkor 2%-kal nagyobb jelerőssége kell, hogy legyen, mint a jelenlegi AP-nak. A potenciális cél AP-nál a küldő egység terheltsége maximum 1%-kal lehet nagyobb, mint a jelenlegi AP esetén. A terminál a felsorolt alapkritériumoknak megfelelő bázisállomásokat összehasonlítja a jelenlegi bázisállomással. Ha egy elfogadott AP teljesít egyet az alábbi feltételek közül, akkor azt a terminál új, aktuális AP-nak választja, majd a lista többi AP-ját már ehhez az újonnan választott AP-hoz hasonlítja a továbbiakban: a jelerősség 2%-kal nagyobb, mint az aktuális bázisállomásé; kevesebb hop távolság a gerinchez; legalább néggyel kevesebb a kapcsolódott kliensek száma, mint a jelenlegi AP esetén; legalább 2%-kal kisebb a küldő egység terheltsége. A 12.2.(11)JA IOS verziótól kezdődően a Cisco fast secure roaming implementáció két újabb lehetőséggel bővült: egyrészt növelt hatékonyságú a es csatornakeresés a fizikai roaming alatt, másrészt hatékonyabb újra hitelesítési mechanizmus jelenik meg, amely fejlett titkosító kulcs menedzsmentet alkalmaz. Függetlenül az alkalmazott biztonsági módszertől, a hatékonyabb csatornakeresés gyorsabb L2 roaming-ot tesz lehetővé. 18

20 Az újrahitelesítés hatékonyságát növelő kulcs menedzsment felgyorsítja a Cisco LEAP hitelesítési folyamatot, így a roaming rövid idő alatt és biztonságosan zajlik le. A Cisco terminálokon és bázisállomásokon az IEEE csatornakeresés alapértelmezés szerint egyaránt engedélyezett. A fast secure roaming -ot egy csatornakeresés előzi meg. A 12.2(11)JA előtti IOS verziók esetén a kliensnek 37 ms-ot vett igénybe egy rádiócsatorna ellenőrzése, ami a magyar szabványok szerinti 13 csatorna esetén összességében 481 ms-ot jelent. A kliens minden egyes csatorna esetén az alábbi lépéseket hajtja végre: Miután a terminál rádiós hardvere ráhangolódik az adott WLAN csatornára, figyel, hogy elkerülje az ütközést, majd probe keretet küld és várja a probe response vagy a bacon jelzést. A fast secure roaming esetén hatékonyabb a csatornakeresés: az újrahitelesített kliens informálja az új AP-t a korábbi AP-val való kapcsolat elvesztése óta eltelt időről, a csatornaszámról, és az SSID-ről. Ezeket az információkat felhasználva, az új AP felépít egy listát a szomszédos bázisállomásokról, és az általuk használt rádiócsatornákról. Ha a szomszédos AP-król információt szolgáltató mobil terminál több mint 1 másodperce kapcsolódott le az előző APról, akkor az általa küldött információkat nem veszi figyelembe az új AP. A bázisállomások maximum 3 szomszédos AP-ról tárolnak információt. Ez a lista egy egynapos periódus alatt elévül. Amikor a terminál asszociál egy AP-hoz, az új bázisállomás unicast csomagban visszaküldi számára a szomszédos AP-k listáját. Ha a kliensnek roamingot kell végrehajtania, megvizsgálja az aktuális AP-tól kapott listát, és csak azokat a rádiócsatornákat ellenőrzi, melyeket a szomszédos bázisállomások valamelyike használ. A kliensállomás az elfoglaltságától függően az alábbi három roaming típus egyikét alkalmazza: Normal roam: A kliens nem kapott és nem küldött unicast csomagot az elmúlt 5 ms-ban. Nem használja az AP-tól kapott listát, ellenőrzi az adott térségben érvényes összes es csatornát. 19

21 Fast roam: A kliens kapott vagy küldött unicast csomagot az elmúlt 5 ms-ban. A szomszédos AP-k által használt csatornákat ellenőrzi. Ha nem talál új AP-t a lista alapján, átvizsgálja az összes csatornát. A kliens 75 ms-ra korlátozza a keresési idejét, ha legalább egy jobb AP-t tudott találni. Very fast roam: A kliens kapott vagy küldött unicast csomagot az elmúlt 5 ms-ban, és nullánál nagyobb százalékkal növeli az adott cella terheltségét. A többi esemény a fast roaming -gal megegyező kivéve, hogy jobb bázisállomás találata esetén a keresés azonnal befejeződik. 12. ábra A Fast roaming csatornakeresése 6.3 Roaming helyi implementációja A megrendelő meglévő számítógépes hálózata egy alhálózatot tartalmaz, vagyis minden csomópont ugyanabban a hálózatban található. Az alhálózat adatai: Network Address: Netmask: Default Gateway: Ebből az következik, hogy az AP-k szintén ebbe az alhálózatba kerülnek. Mivel ebben a hálózatban minden aktív eszköz Cisco, így a mobil kliensek roaming-ját meg lehet oldani Layer 2 es szinten. 2

22 Az AP-k IP címei: től ig. A roaming működésének alapvető feltétele az AP k megfelelő csatornakiosztása. 7 Wifi RF csatornák 7.1 RF csatorna kiosztás 2.4 GHz-en A 2,4 GHz-en történő adatátvitel az alábbi frekvenciájú csatornákon történhet: Csatorna száma Frekvencia Csatorna száma MHz Frekvencia MHz A 13-as ábrán jól látható, hogy az egyes csatornák 22 MHz szélességűek, és emiatt a csatornák között átfedés van. 13. ábra Wifi RF csatornák kiosztása 21

23 A 2.4 GHz-es sávot kijelölték ipari, tudományos és orvosi eszközök működtetésére. Az ipari használat jellegzetes példája az a nagyszámú háztartási mikrohullámú sütő, ami a 2,4 GHz-es sávban működik. Az ipari berendezések mikrohullámú zavarkisugárzása a sávhasználat alapvető meghatározója. A 2,4 GHz-es sávot kijelölték továbbá kis hatótávolságú eszközök (távirányítók, riasztók, stb.) működtetésére is. Ezek az eszközök tovább növelik a nem ellenőrizhető zavarszintet. Ebben a kisugárzásokkal erősen terhelt frekvenciasávban megengedett a kis hatótávolságú rádiótávközlés is. Tudatában kell azonban lenni annak, hogy a távközlő eszközök működtetése során mindig lehet zavaró interferenciára számítani. A távközlési sávhasználat prioritási foka harmadlagos. Ez azt jelenti, hogy a berendezések nem tarthatnak igényt interferencia- védelemre más eszközök zavarásával szemben. A 2,4 GHz-es távközlés az egyszerűség és könnyű megvalósíthatóság miatt népszerű. Az elterjedt használat és az állomások nagy száma következtében mostanra már a 2,4 GHz-es távközlési összeköttetések kölcsönös egymásra hatása vált a zavarok elsődleges okozójává. 7.2 A 2,4 GHz-es sáv távközlési használata A sávhasználatot meghatározó műszaki szabályozás csak a kötelezően betartandó teljesítményszinteket limitálja, az alkalmazott technológiára nem tesz megkötést, tehát technológia-semleges. Az előírások betartása mellett bármilyen rádió-távközlési átviteli alkalmazás megvalósítható. A teljesítmény-korlátozási előírásból adódóan a 2,4 GHz-es távközlési alkalmazások általában 15 m-nél kisebb távolságú átvitelre használhatók előnyösen. Jellegzetes alkalmazások: Bluetooth, általában 1 m-nél kisebb távolságra; HomeRF, általában 5 m-nél kisebb távolságra; WiFi, az RLAN egy jellegzetes megoldása, amelyik az IEEE szabvány előírásainak tesz eleget, általában 15 m-nél kisebb távolságra. A 2,4 GHz-es RLAN-ok előnyösen épületeken belüli hozzáférési rendszerekhez használható. Külső téri RLAN (azaz ORLAN) nincs ugyan tiltva, de műszakilag rendkívül előnytelen ebben a frekvenciasávban (a CEPT deklarációja szerint nem rendeltetésszerű rádióhasználatnak minősíthető). 22

24 7.3 Területek lefedése WiFi cellákkal Mint ahogyan azt már fentebb részleteztem az RF csatornák között átfedés van. Emiatt célszerű olyan RF csatornákat választani a cellák kialakításához, amelyek frekvenciasávjai biztonságos távolságra vannak egymástól. Egy lehetséges megoldás a 14 es ábra szerint 1, 6, 11 es csatornák felhasználásával. 14. ábra WiFi cellák kialakítása A cellák kialakításánál az alábbi kritériumokat kell figyelembe venni: 15. ábra Cellák kialakításának kritériumai 23

25 Egy cella lefedettségének maximális sugara 67 dbm. Két azonos csatornájú cella közötti minimális távolság 19 dbm, vagyis egy AP-tól minimum 86 dbm-re lehet egy vele azonos RF csatornán lévő AP által lefedett cella széle. Az imént részletezett csatornakiosztás szerinti lefedés egy abszolút túlbiztosított kialakítás, mivel a rádiós csatornák átfedés-mentesen helyezkednek el. Minden kiosztott csatorna (1, 6, 11) között 5.5 MHz üres sáv marad. Az elérhető átviteli teljesítmény szintek: 82.11g CCK: 2 dbm (1 mw) 17 dbm (5 mw) 14 dbm (25 mw) 11 dbm (12 mw) 8 dbm (6 mw) 5 dbm (3 mw) 2 dbm (2 mw) 1 dbm (1 mw) A Cisco AIR-AP1242AG-E-K9 készülékek IOS-a a fent felsorolt teljesítmény szintek beállítását teszi lehetővé. Továbbá beállítható az is, hogy a két antenna csatlakozó közül melyikre, vagy mindkettőre szerelünk-e antennát. A felszerelt antenna külső, nagyobb nyereséget biztosító irányított antenna-e, ami kábellel csatlakozik, esetleg közvetlenül csatlakozó körsugárzó botantenna. A mi esetünkben a közvetlenül csatlakozó körsugárzó botantennát használjuk. Ennek megfelelően programozom az AP-ket. 24

26 7.4 Sávszélesség változása a távolság függvényében 16. ábra Adatátviteli sebesség a távolság függvényében Az ábrán látható adatátviteli sebesség értékek számításánál feltételeztük, hogy az eszközök beltérben vannak beüzemelve, továbbá standard antennával van ellátva a hálózati csatoló kártya és az Access-Point. A sávszélesség értékeket nagyban befolyásolja a fizikai környezet. Ezek a számított értékek azt feltételezik, hogy semmilyen árnyékoló tényező nincs jelen. Ha tehát a lefedett területen falak, vagy egyéb (főleg fémes) nagy kiterjedésű tárgyak helyezkednek el, azok nagymértékben lecsökkentik a besugározható terület mértékét. Mivel a megrendelő olyan környezetbe igényelte a vezeték nélküli hálózat kialakítását, ahol nagyméretű papírtekercsek vannak jelen, indokolt az AP-k viszonylag sűrű telepítése. 25

27 7.5 Területi lefedettség helyi implementációja A Megrendelő telephelyén olyan csatornakiosztást alkalmazunk, ahol a kiosztott csatornák között nincs üres rádiófrekvenciás sáv. Így 4 RF csatornát lehet felhasználni a hálózat kialakításához: 1, 5, 9, 13. Négy csatornára azért van szükség, mert viszonylag kis földrajzi területen kell elhelyezni az Access-Point okat: 1 es csatorna: 2412 MHz ( ) 5 ös csatorna: 2432 MHz ( ) 9 es csatorna: 2452 MHz ( ) 13 as csatorna: 2472 MHz ( ) Jól látható, hogy ebben az esetben sincs rádiófrekvenciás átfedés a csatornák között, csak szabad frekvenciasáv sem marad közöttük. Az Access-Point okat úgy kell elhelyezni a megadott területen, hogy minél kisebb olyan hely legyen a raktárban, ahol a lefedettségben átfedés lehet (azonos csatornákra állított AP k esetében). A stabil rádiós működés elérésének érdekében minden Access-Point ra 2 db antennát szerelek fel. Az Access-Point ok felszerelése, programozása után 1 db hordozható számítógéppel, NetStumbler.4. szoftver segítségével feltérképezem a fizikai terület lefedettségét. Pontos méréseket végzek minden hozzáférési pont rádiós lefedettségi adatairól és e mérések után pontosan beállítom az AP-k teljesítményeit. Gondosan ügyelve arra, hogy azonos rádiós csatornán üzemelő hozzáférési pontok által lefedett területek között ne legyen átfedés. 26

28 Az antennák paraméterei: Antenna type Dipole Operating frequency range MHz Nominal input impedance 5 2:1 VSWR bandwidth Mhz Peak gain 2 dbi Polarization Linear, vertical E-Plane 3-dB beamwidth 7 degrees H-Plane 3-dB beamwidth Omnidirectional Dimensions 5.5 in. (13 cm) Weight 1 oz. Connector type RP-TNC plug Environment Indoor Operating temperature range (oc to 6oC) Karakterisztikájuk: Vertikális karakterisztika Horizontális karakterisztika 27

29 A két antennát az AP-n úgy állítjuk be, hogy egymással 9o os szöget zárjanak be. Ezzel azt segítjük elő, hogy minél kevésbé zavarják egymás működését. 17. ábra A raktárban tárolt papírtekercsek 28

30 7.6 AP-k elhelyezése 18. ábra WLAN lefedettség 29

31 7.7 A rádiófrekvenciás csatornák kiosztása A 18 as ábrán az AP-k fizikai elhelyezése és a hozzájuk tartozó RF csatornák láthatóak: 1 es csatorna 5 ös csatorna 9 es csatorna 13 as csatorna Az Access-Point ok beállításánál különös gondot kell fordítani azok teljesítményének beállítására. A 16 os ábrán jól látható, hogy egy rádiós hozzáférési pont ideális esetben mekkora sugarú kört tud lefedni. Mivel a mi esetünkben nem beszélhetünk ideális esetről, ezért a rendszer beállítását lehetőleg olyan időpontban kell végezni, amikor a raktárban jelentős mennyiségű papírtekercs található. Vigyázni kell azonban arra is, hogy az így beállított rádiós teljesítmény nehogy túl nagy legyen olyankor, amikor a raktár üres. Emiatt az Access-Point ok teljesítményét a rendszer beállítása után többször ellenőrizni kell. 19. ábra Alapanyagraktár 3

32 8 A hálózattal szemben támasztott biztonsági kritériumok 8.1 A vezeték nélküli hálózatok biztonságáról általában (történelmi áttekintés) Először a WEP működéséről és hibáiról néhány mondat. A WEP az első biztonsági architektúra, melyet hálózatok számára javasoltak, ám hamar kiderült, hogy nem nyújt megfelelő védelmet. Utána a 82.11i szabvány következett, amely a WEP utódjának tekinthető. Áttekintjük a 82.11i-ben javasolt biztonsági architektúra elemeit: a hitelesítési és hozzáférés-védelmi mechanizmust, a kulcsmenedzsmentet, valamint a TKIP és az AES-CCMP protokollokat WEP Az IEEE vezeték nélküli LAN szabvány tervezői kezdettől fogva fontosnak tartották a biztonságot. Ezért már a korai verziója [82.11] is tartalmazott biztonsági mechanizmusokat, melyek összességét WEP-nek (Wired Equivalent Privacy) nevezték el. Ahogy arra a név is utal, a WEP célja az, hogy a vezeték nélküli hálózatot legalább olyan biztonságossá tegye, mint egy különösebb biztonsági kiegészítésekkel nem rendelkező vezetékes hálózat. Ha például egy támadó egy vezetékes Ethernet hálózathoz szeretne csatlakozni, akkor hozzá kell férnie az Ethernet hub-hoz. Mivel azonban a hálózati eszközök általában fizikailag védve, zárt szobában találhatók, ezért a támadó nehézségekbe ütközik. Ezzel szemben egy védelmi mechanizmusokat nélkülöző vezeték nélküli LAN-hoz való hozzáférés a rádiós csatorna nyitottsága miatt triviális feladat a támadó számára. A WEP ezt a triviális feladatot hivatott megnehezíteni. Fontos azonban megjegyezni, hogy a WEP tervezői nem törekedtek tökéletes biztonságra, mint ahogy a zárt szoba sem jelent tökéletes védelmet egy Ethernet hub számára. A tervezők tehát nem tették túl magasra a lécet, ám a WEP még ezt a korlátozott célt sem érte el. Pár évvel a megjelenése után, a kriptográfusok és az IT biztonsági szakemberek súlyos biztonsági hibákat találtak a WEP-ben [Walker, Borisov+1, Arbaugh+2], s nyilvánvalóvá vált, hogy a WEP nem nyújt megfelelő védelmet. A felfedezést tett követte, és hamarosan megjelentek az Interneten a WEP feltörését automatizáló programok. Válaszul, az IEEE új biztonsági architektúrát dolgozott ki, melyet a szabvány i jelzésű kiegészítése tartalmaz [82.11i]. 31

33 8.1.2 A WEP működése Vezeték nélküli hálózatok esetében két alapvető biztonsági probléma merül fel. Egyrészt a rádiós csatorna jellege miatt a kommunikáció könnyen lehallgatható. Másrészt s ez talán fontosabb a hálózathoz való csatlakozás nem igényel fizikai hozzáférést a hálózati csatlakozóponthoz (Access Point), ezért bárki megpróbálhatja a hálózat szolgáltatásait illegálisan igénybe venni. A WEP az első problémát az üzenetek rejtjelezésével igyekszik megoldani, a második probléma megoldása érdekében pedig megköveteli a csatlakozni kívánó mobil eszköz (Station, vagy röviden STA) hitelesítését az AP felé. A hitelesítést egy egyszerű kihívás-válasz alapú protokoll végzi, mely négy üzenet cseréjéből áll. Elsőként a STA jelzi, hogy szeretné hitelesíteni magát (authenticate request). Válaszul az AP generál egy véletlen számot, s azt kihívásként elküldi a STA -nak (authenticate challenge). A STA rejtjelezi a kihívást, s az eredményt visszaküldi az AP-nak (authenticate response). A STA a rejtjelezést egy olyan titkos kulccsal végzi, melyet csak a STA és az AP ismer. Ezért ha az AP sikeresen dekódolja a választ (azaz a dekódolás eredményeként visszakapja saját kihívását), akkor elhiszi, hogy a választ az adott STA állította elő, hiszen csak az ismeri a helyes válasz generálásához szükséges titkos kulcsot. Más szavakkal, a válasz sikeres dekódolása esetén az AP hitelesítette a STA-t, és ennek megfelelően dönthet arról, hogy a csatlakozást engedélyezi vagy sem. A döntésről az AP a protokoll negyedik üzenetében tájékoztatja a STA-t (authenticate success vagy failure). Miután a hitelesítés megtörtént, a STA és az AP üzeneteiket rejtjelezve kommunikálnak. A rejtjelezéshez ugyanazt a titkos kulcsot használják, mint a hitelesítéshez. A WEP rejtjelező algoritmusa az RC4 kulcsfolyam kódoló. A kulcsfolyam kódolók úgy működnek, hogy egy kisméretű, néhány bájtos titkos kulcsból egy hosszú ál véletlen bájtsorozatot állítanak elő, és ezen sorozat bájtjait XOR-olják az üzenet bájtjaihoz. Ez történik a WEP esetében is. Az M üzenet küldője (a STA vagy az AP) a titkos kulccsal inicializálja az RC4 kódolót, majd az RC4 által előállított K ál véletlen bájtsorozatot XOR-olja az üzenethez. Az M K rejtjelezett üzenet vevője ugyanazt teszi, mint a küldő: a titkos kulccsal inicializálja az RC4 algoritmust, amely így ugyanazt a K ál véletlen bájtsorozatot állítja elő, amit a rejtjelezéshez használt a küldő. Ezt a rejtjelezett üzenethez XOR-olva az XOR művelet tulajdonságai miatt a vevő az eredeti üzenetet kapja vissza: (M K) K = M. 32

34 A fent leírtak majdnem megfelelnek a valóságnak, van azonban még valami, amit a WEP rejtjelezés kapcsán meg kell említeni. Könnyen látható, hogy ha a rejtjelezés a fentiek szerint működne, akkor minden üzenethez ugyanazt a K ál véletlen bájtsorozatot XOR-olnánk, hiszen a kódolót minden üzenet elküldése előtt ugyanazzal a titkos kulccsal inicializáljuk. Ez több szempontból is hiba lenne. Tegyük fel például, hogy egy támadó lehallgat két rejtjelezett üzenetet, M1 K-t és M2 K-t. A két rejtjelezett üzenetet XOR-olva, a támadó a két nyílt üzenet XOR összegét kapja: (M1 K) (M2 K) = M1 M2. Ez olyan, mintha az egyik üzenetet a másik üzenettel, mint kulcsfolyammal rejtjeleztük volna. Ám ebben az esetben M1 és M2 nem ál véletlen bájtsorozatok. Valójában tehát M1 M2 egy nagyon gyenge rejtjelezés, és a támadó az üzenetek statisztikai tulajdonságait felhasználva könnyen meg tudja fejteni mindkét üzenetet. Az is elképzelhető, hogy a támadó esetleg (részlegesen) ismeri az egyik üzenet tartalmát, s annak segítségével a másik üzenet (részleges) tartalmához azonnal hozzájut. Ezen problémák elkerülése érdekében, a WEP nem egyszerűen a titkos kulcsot használja a rejtjelezéshez, hanem azt kiegészíti egy IV-nek (Initialization Vector) nevezett értékkel, mely üzenetenként változik. A rejtjelezés folyamata tehát a következő: az IV-t és a titkos kulcsot összefűzzük, a kapott értékkel inicializáljuk az RC4 kódolót, mely előállítja az ál véletlen bájtsorozatot, amit az üzenethez XOR-olunk. A dekódolás folyamata ezzel analóg. Ebből következik, hogy a vevőnek szüksége van a kódolásnál használt IV-re. Ez a rejtjelezett üzenethez fűzve, nyíltan kerül átvitelre. Ez elvileg nem jelent problémát, mert az üzenet dekódolásához csupán az IV ismerete nem elegendő, ahhoz a titkos kulcsot is ismerni kell. A méreteket illetően megemlítjük s ennek később még lesz jelentősége hogy az IV 24 bites, a titkos kulcs pedig (általában) 14 bites. 33

35 8.1.3 WEP hibái Hitelesítés: A WEP hitelesítési eljárásának több problémája is van. Elsőként mindjárt az, hogy a hitelesítés egyirányú, azaz a STA hitelesíti magát az AP felé, ám az AP nem hitelesíti magát a STA felé. Másodszor, a hitelesítés és a rejtjelezés ugyanazzal a titkos kulccsal történik. Ez azért nem kívánatos, mert így a támadó mind a hitelesítési, mind pedig a rejtjelezési eljárás potenciális gyengeségeit kihasználhatja egy, a titkos kulcs megfejtésére irányuló támadásban. Biztonságosabb lenne, ha minden funkcióhoz külön kulcs tartozna. A harmadik probléma az, hogy a protokoll csak a hálózathoz történő csatlakozás pillanatában hitelesíti a STA-t. Miután a hitelesítés megtörtént és a STA csatlakozott a hálózathoz, bárki küldhet a STA nevében üzeneteket annak MAC címét használva. Úgy tűnhet, hogy ez annyira nem nagy gond, hiszen a támadó, a titkos kulcs ismeretének hiányában, úgysem tud helyes rejtjelezett üzenetet fabrikálni, amit az AP elfogad. Ám ahogy azt korábban említettem, a gyakorlatban az összes STA egy közös titkos kulcsot használ, s így a támadó megteheti azt, hogy egy STA1 által küldött és a támadó által lehallgatott rejtjelezett üzenetet STA2 nevében megismétel az AP felé; ezt az AP el fogja fogadni. A negyedik probléma egy gyöngyszem a protokolltervezési hibák között. A WEP rejtjelezési algoritmusa az RC4 folyamkódoló. Nemcsak az üzeneteket kódolják az RC4 segítségével, hanem a STA ezt használja a hitelesítés során is az AP által küldött kihívás rejtjelezésére. Így a támadó a hitelesítés során küldött üzenetek lehallgatásával könnyen hozzájut a C kihíváshoz és az arra adott R = C K válaszhoz, melyből C R = K alapján azonnal megkapja az RC4 algoritmus által generált K ál véletlen bájtsorozatot. A játéknak ezzel vége, hiszen K segítségével a támadó bármikor, bármilyen kihívásra helyes választ tud generálni a STA nevében (s ezen az IV használata sem segít, mert az IV-t a rejtjelezett üzenet küldője, jelen esetben a támadó választja). Sőt, mivel a gyakorlatban minden, az adott hálózathoz tartozó eszköz ugyanazt a titkos kulcsot használja, a támadó ezek után bármelyik eszköz nevében csatlakozni tud a hálózathoz. Persze a csatlakozás önmagában még nem elegendő, a támadó használni is szeretné a hálózatot. Ehhez olyan üzeneteket kell fabrikálnia, amit az AP elfogad. A rejtjelezés követelménye miatt ez nem triviális feladat (hiszen magához a titkos kulcshoz még nem jutott hozzá a támadó), de a WEP hibáinak tárháza bőven tartogat még lehetőségeket. 34

36 i A WEP hibáit felismerve, az IEEE új biztonsági megoldást dolgozott ki, melyet a 82.11i specifikáció tartalmaz [82.11i]. A WEP-től való megkülönböztetés érdekében, az új koncepciót RSN-nek (Robust Security Network) nevezték el. Az RSN-t körültekintőbben tervezték meg, mint a WEP-et. Új módszer került bevezetésre a hitelesítés és a hozzáférésvédelem biztosítására, mely a 82.1X szabvány által definiált modellre épül, az integritásvédelmet és a titkosítást pedig az AES (Advanced Encryption Standard) algoritmusra támaszkodva oldották meg. Sajnos azonban az új RSN koncepcióra nem lehet egyik napról a másikra áttérni. Ennek az az oka, hogy a használatban levő WiFi eszközök az RC4 algoritmust támogató hardver elemekkel vannak felszerelve, és nem támogatják az RSN által előírt AES algoritmust. Ezen pusztán szoftver upgrade-del nem lehet segíteni, új hardverre van szükség, s ez lassítja az RSN elterjedésének folyamatát. Ezt a problémát az IEEE is felismerte, és egy olyan opcionális protokollt is hozzáadott a 82.11i specifikációhoz, mely továbbra is az RC4 algoritmust használja, és így szoftver upgrade után futtatható a régi hardveren, de erősebb, mint a WEP. Ezt a protokollt TKIP-nek (Temporal Key Integrity Protocol) nevezik. A WiFi eszközöket gyártó cégek azonnal adaptálták a TKIP protokollt, hiszen annak segítségével a régi eszközökből álló WEP-es hálózatokat egy csapásra biztonságossá lehetett varázsolni. Meg sem várták, amíg a 82.11i specifikáció a lassú szabványosítási folyamat során végleges állapotba kerül, azonnal kiadták a WPA (WiFi Protected Access) specifikációt [WPA], ami a TKIP-re épül. A WPA tehát egy gyártók által támogatott specifikáció, mely az RSN egy azonnal használható részhalmazát tartalmazza. A WPA- ban a hitelesítés, a hozzáférés-védelem, és a kulcsok menedzsmentje megegyezik az RSN-ben használt módszerekkel, a különbség csak az integritás-védelemre és a rejtjelezésre használt algoritmusokban mutatkozik. 35

37 Hitelesítés és hozzáférés-védelem A 82.11i-ben a hitelesítés és hozzáférés-védelem modelljét a 82.1X szabványból kölcsönözték [82.1X]. Ezt a szabványt eredetileg vezetékes LAN-ok számára tervezték, de az elvek végülis vezeték nélküli WiFi hálózatokban is ugyanúgy alkalmazhatóak. A 82.1X modell három résztvevőt különböztet meg a hitelesítés folyamatában: a hitelesítendő felet (supplicant), a hitelesítőt (authenticator), és a hitelesítő szervert (authentication server). A hitelesítendő fél szeretne a hálózat szolgáltatásaihoz hozzáférni, és ennek érdekében szeretné magát hitelesíteni, azaz kilétét bizonyítani. A hitelesítő kontrollálja a hálózathoz történő hozzáférést. A modellben ez úgy történik, hogy a hitelesítő egy ún. port állapotát vezérli. Alapállapotban a porton adatforgalom nincs engedélyezve, ám sikeres hitelesítés esetén a hitelesítő bekapcsolja a portot, ezzel engedélyezve a hitelesítendő fél adatforgalmát a porton keresztül. A hitelesítő szerver az engedélyező szerepet játssza. Tulajdonképpen a hitelesítendő fél hitelesítését nem a hitelesítő, hanem a hitelesítő szerver végzi, és ha a hitelesítés sikeres volt, engedélyezi, hogy a hitelesítő bekapcsolja a portot. WiFi hálózatok esetében a hitelesítendő fél a mobil eszköz, mely szeretne a hálózathoz csatlakozni, a hitelesítő pedig az AP, mely a hálózathoz történő hozzáférést kontrollálja. A hitelesítő szerver egy program, mely kisebb hálózatok esetében akár az AP-ben is futhat, nagyobb hálózatoknál azonban tipikusan egy külön erre a célra dedikált hoszton futó szerveralkalmazás. WiFi esetében a port nem egy fizikai csatlakozó, hanem egy logikai csatlakozási pont, amit az AP-ben futó szoftver valósít meg. Maga a hitelesítés az EAP (Extensible Authentication Protocol) segítségével történik [EAP]. Az EAP egy igen egyszerű protokoll, aminek az az oka, hogy nem maga az EAP végzi a hitelesítést. Az EAP csak egy illesztő-protokoll, amit arra terveztek, hogy tetszőleges hitelesítő protokoll üzeneteit szállítani tudja (ezért extensible ). Egy adott hitelesítő protokoll EAP-ba történő beágyazásának szabályait külön kell specifikálni. Több elterjedt hitelesítő protokollra létezik már ilyen specifikáció (pl. EAP-TLS, LEAP, PEAP, EAP-SIM). Négy fajta EAP üzenet létezik: request, response, success, és failure. Az EAP request és response üzenetek szállítják a beágyazott hitelesítő protokoll üzeneteit. 36

38 Az EAP success és failure speciális üzenetek, melyek segítségével a hitelesítés eredményét lehet jelezni a hitelesítendő fél felé. WiFi esetében az EAP protokollt (és az abba beágyazott tényleges hitelesítő protokollt, például a TLS-t) lényegében a mobil eszköz és a hitelesítő szerver futtatják. Az AP csak továbbítja az EAP üzeneteket a mobil eszköz és a hitelesítő szerver között, de nem érti azok tartalmát. Az AP csak az EAP success és failure üzeneteket érti meg, ezeket figyeli, és ha success üzenetet lát, akkor engedélyezi a mobil eszköz csatlakozását a hálózathoz. Az EAP üzeneteket a mobil eszköz és az AP között a 82.1X-ben definiált EAPOL (EAP over LAN) protokoll szállítja. Az AP és a hitelesítő szerver között a WPA a RADIUS protokoll [RADIUS] használatát írja elő. A RADIUS-t az RSN opcióként ajánlja, de más alkalmas protokoll használatát is lehetővé teszi a specifikáció. Végülis tetszőleges protokoll használható, amely az EAP üzenetek szállítására alkalmas. Elterjedtsége miatt azonban várhatóan a legtöbb hálózat RADIUS-t használ majd. A hitelesítés eredményeként nemcsak a hálózathoz való hozzáférést engedélyezi a hitelesítő szerver, hanem egy titkos kulcs is létrejön, mely a mobil eszköz és az AP további ( és a5 szerver között kommunikációját hivatott védeni. Mivel a hitelesítés a mobil eszköz folyik, ezért a protokoll futása után ezt a kulcsot csak a mobil eszköz és) a hitelesítő szerver F birtokolja, és azt még el kell juttatni az AP-hez. A RADIUS protokoll biztosít erre használható mechanizmust az MS-MPPE-Recv-Key RADIUS üzenet-attribútum formájában, mely kifejezetten kulcs-szállítás céljára lett specifikálva. A kulcs rejtjelezett formában kerül átvitelre, ahol a rejtjelezés egy a hitelesítő szerver és az AP között korábban létrehozott (tipikusan manuálisan telepített) kulcs segítségével történik. Kulcsmenedzsment A hitelesítés során, a mobil eszköz és az AP között létrehozott titkos kulcsot páronkénti mesterkulcsnak (pairwise master key, vagy röviden PMK) nevezik. Azért páronkénti, mert csak az adott mobil eszköz és az AP ismeri (na meg a hitelesítő szerver, de az megbízható entitásnak tekinthető), s azért mester, mert ezt a kulcsot nem használják közvetlenül rejtjelezésre, hanem további kulcsokat generálnak belőle. Egészen pontosan a PMK-ból mind a mobil eszköz, mind pedig az AP négy további kulcsot generál: egy adat-rejtjelező kulcsot, egy adat-integritás-védő kulcsot, egy kulcs-rejtjelező kulcsot, és egy kulcs-integritás-védő kulcsot. 37

39 Ezeket együttesen páronkénti ideiglenes kulcsnak (Pairwise Transient Key, vagy röviden PTK) nevezik. Megjegyezzük, hogy az AES- CCMP protokoll az adatok rejtjelezéséhez és az adatok integritás-védelméhez ugyanazt a kulcsot használja, ezért AES-CCMP használata esetén csak három kulcs generálódik a PMK-ból. A PTK előállításához a PMK-n kívül felhasználják még a két fél (mobil eszköz és AP) MAC címét, és két véletlen számot, melyet a felek generálnak. A véletlen számokat az ún. négy utas kézfogás (four way handshake) protokollt használva juttatják el egymáshoz a felek. Ennek a protokollnak további fontos feladata az, hogy segítségével a felek közvetlenül meggyőződjenek arról, hogy a másik fél ismeri a PMK-t. A négy utas kézfogás protokoll üzeneteit az EAPOL protokoll Key típusú üzeneteiben juttatják el egymáshoz a felek. Az üzenetek tartalma és a protokoll működése vázlatosan a következő: 1. Első lépésként az AP elküldi az általa generált véletlen számot a mobil eszköznek. Mikor a mobil eszköz ezt megkapja, rendelkezésére áll minden információ a PTK előállításához. A mobil eszköz tehát kiszámolja az ideiglenes kulcsokat. 2. A mobil eszköz is elküldi az általa generált véletlen számot az AP-nek. Ez az üzenet kriptográfiai integritás-ellenőrző összeggel (Message Integrity Code, vagy röviden MIC) van ellátva, amit a mobil eszköz a frissen kiszámolt kulcs- integritás-védő kulcs segítségével állít elő. Az üzenet vétele után az AP-nek is rendelkezésére áll minden információ a PTK kiszámításához. Kiszámolja az ideiglenes kulcsokat, majd a kulcsintegritás- védő kulcs segítségével ellenőrzi a MIC-et. Ha az ellenőrzés sikeres, akkor elhiszi, hogy a mobil eszköz ismeri a PMK-t. 3. Az AP is küld egy MIC-et tartalmazó üzenetet a mobil eszköznek, melyben tájékoztatja a mobil eszközt arról, hogy a kulcsokat sikeresen telepítette, és készen áll a további adatforgalom rejtjelezésre. Ez az üzenet tartalmaz továbbá egy kezdeti sorozatszámot. A későbbiekben ettől az értéktől kezdik majd sorszámozni a felek az egymásnak küldött adatcsomagokat, és a sorszámozás segítségével detektálják a visszajátszásos támadásokat. Az üzenet vétele után a mobil eszköz a kulcs-integritás- védő kulccsal ellenőrzi a MIC-et, és ha az ellenőrzés sikeres, akkor elhiszi, hogy az AP ismeri a PMK-t. 38

40 4. Végül a mobil eszköz nyugtázza az AP előző üzenetét, mely egyben azt is jelenti, hogy a mobil eszköz is készen áll a további adatforgalom rejtjelezésére. A továbbiakban a mobil eszköz és az AP az adat-integritás- védő és az adat-rejtjelező kulccsal védik egymásnak küldött üzeneteiket. Szükség van azonban még olyan kulcsokra is, melyek segítségével az AP többes szórással küldhet üzeneteket biztonságosan minden mobil eszköz számára. Értelemszerűen, ezeket a kulcsokat az összes mobil eszköznek és az AP-nek is ismernie kell, ezért ezeket együttesen ideiglenes csoportkulcsnak (Group Transient Key, vagy röviden GTK) nevezik. A GTK egy rejtjelező és egy integritás-védő kulcsot tartalmaz. AESCCMP esetén a két kulcs ugyanaz, ezért csak egy kulcsból áll a GTK. A GTK-t az AP generálja, és a négy utas kézfogás során létrehozott kulcs-rejtjelező kulcsok segítségével titkosítva juttatja el minden mobil eszközhöz külön-külön. TKIP és AES-CCMP A TKIP (Temporal Key Integrity Protocol) és az AES-CCMP (AES CTR Mode and CBC MAC) a fent leírt kulcsmenedzsment megoldásra támaszkodó protokollok, melyek az üzenetek integritás-védelmével és rejtjelezésével foglalkoznak. Mint azt korábban említettük, a TKIP egy olyan köztes megoldás, amely a régi, WEP-es hardveren is működik, de a WEPnél jóval magasabb szintű biztonságot nyújt. Az AES-CCMP új hardvert igényel, de cserébe egyszerűbb, tisztább megoldást nyújt, mint a TKIP. A TKIP a WEP hibáit a következő módon igyekszik javítani: Integritás-védelem: A TKIP egy új integritás-védelmi mechanizmussal egészíti ki a WEP-es megoldást (utóbbi általában hardverben van implementálva, úgyhogy benne hagyták a TKIPben is). Az új mechanizmust Michael-nek hívják. A Michael SDU szinten működik (azaz a felsőbb protokollszintről a MAC szintre érkező adatokon, fragmentálás előtt végzi az integritás-védő ellenőrző összeg számítását), ami lehetővé teszi a hálózati kártya meghajtó programjában (device driver) történő megvalósítást. Ez azért fontos, mert így a Michael bevezetése egyszerű szoftver upgrade-del megoldható. Az üzenet-visszajátszás detektálása érdekében a TKIP az IV-t használja sorozatszámként. 39

41 Ennek megfelelően, a TKIP előírja, hogy az IV értékét minden üzenetben eggyel növelni kell (a WEP-ben ez nem volt kötelező). A vevő nyilvántartja az utolsó néhány vett IV értéket. Ha egy frissen érkezett üzenet IV-je kisebb, mint a legkisebb nyilvántartott IV, akkor a vevő eldobja az üzenetet, míg ha az üzenet IV-je nagyobb, mint a legnagyobb nyilvántartott IV, akkor a vevő megtartja az üzenetet és módosítja a nyilvántartását. Ha egy vett üzenet IV-je a legkisebb és a legnagyobb nyilvántartott IV közé esik, akkor a vevő ellenőrzi, hogy az adott IV szerepel-e a nyilvántartásában. Ha igen, akkor eldobja az üzenetet, ha nem, akkor megtartja azt és módosítja a nyilvántartását. Titkosítás: A WEP titkosítás legfőbb hibáját az IV kis mérete és a gyenge RC4 kulcsok használata jelentette. A TKIP-ben ezért az IV méretét 24 bitről megnövelték 48 bitre. Ez egyszerű megoldásnak látszik, ám a nehézséget az okozza, hogy a WEP-et támogató hardverek adott hosszúságú (128 bites) értékkel inicializálják az RC4 algoritmust, s így a megnövelt IV-t, a rejtjelező kulccsal együtt, valamilyen módon bele kell gyömöszölni ebbe az adott hosszúságba. A gyenge kulcsok problémáját a TKIP úgy oldja meg, hogy minden üzenet rejtjelezését más kulccsal végzi. Így a támadó nem tud a sikeres támadáshoz szükséges számú, azonos (potenciálisan gyenge) kulccsal kódolt üzenetet megfigyelni. Az üzenetkulcsokat a TKIP a négy utas kézfogás során generált adat-rejtjelező kulcsból állítja elő. Az AES-CCMP tervezőinek bizonyos értelemben könnyebb dolguk volt, mint a TKIP tervezőinek, hiszen nem volt megkötés arra vonatkozóan, hogy a protokollnak milyen hardveren kell futnia. A tervezők ezért egyszerűen megszabadultak az RC4 algoritmustól, s helyette az AES blokkrejtjelezőre építették fel a protokollt. Definiáltak egy új AES használati módot, mely a régóta ismert CTR (Counter) mód és a CBC-MAC (Cipher Block Chaining Message Authentication Code) kombinációja. Ebből származik a CCMP rövidítés. CCMP módban, az üzenet küldője először kiszámolja az üzenet CBC- MAC értékét, ezt az üzenethez csatolja, majd az üzenetet CTR módban rejtjelezi. A CBCMAC számítás kiterjed az üzenet fejlécére is, a rejtjelezés azonban csak az üzenet hasznos tartalmára és a CBC-MAC értékre vonatkozik. A CCMP mód tehát egyszerre biztosítja a teljes üzenet (beleértve a fejlécet is) integritásának védelmét és az üzenet tartalmának titkosságát. A visszajátszás ellen az üzenetek sorszámozásával védekezik a protokoll. A sorszám a CBC-MAC számításhoz szükséges inicializáló blokkban van elhelyezve. 4

42 8.2 A vezeték nélküli adatátvitel biztonsága A rádiós forgalom titkosítását az AP-k biztosítják. A hálózatot azonosító SSID-k nincsenek nyilvánosan megosztva a Ethernet keretben (No broadcast). Vagyis nem jelennek meg automatikusan a Microsoft Windows operációs rendszerével elérhető hálózatok között egy olyan felhasználó gépén, amelyen az adott SSID-t tartalmazó profile nem ismert. Mivel ez a vezeték nélküli hálózat kizárólag a Symbol mobil eszközöket fogja ellátni adatkapcsolattal, ezért azokat a beüzemelésük folyamán kellően fel kell programozni. Be kell rajtuk állítani az összes elérhető AP SSID jét, mert csak így fognak tudni csatlakozni a hálózathoz. Az adatforgalom biztonsága érdekében WPA kulcsmenedzsment és TKIP titkosítás kerül beállításra. A hálózathoz, történő kapcsolódáskor előre definiált kulcs (Pre-Shared Key) megfelelő alkalmazása szükséges. A kulcs minden AP esetében azonos. Ezeket a biztonsági beállításokat a Cisco Aironet AIR-AP1242AG-E-K9 AP-k IOS-a alapértelmezésben ismeri, így nincs szükség külön RADIUS szerverre. A vezeték nélküli adatátvitel biztonságát tovább növelem az Access Point okba beépített MAC Address Filter beállításával. Ez annyit takar, hogy a kliensek fizikai címeit előre beprogramozom minden AP-be, és beállítom, a MAC filtert. Ennek következtében az AP-k csak ezeket a klienseket engedik csatlakozni a hálózathoz. Mindezen védelmi beállítások elvégzése után (SSID No Broadcast + WPA/TKIP + MAC filter) nyugodtan állíthatjuk, hogy a hálózatunk nagyfokú védettségben részesül a külső, illetéktelen behatolásokkal szemben. 41

43 9 Hálózati beállítások 9.1 Meglévő hálózati topológia 2. ábra Jelenlegi hálózati topológia Hálózati eszközök címzése: 1. n-mondi-sw (*CMD* switch) 2. n-mondi-sw n-mondi-sw n-mondi-sw n-mondi-sw n-mondi-sw n-mondi-ap n-navi-fo-sw navi-r

44 A hálózati aktív eszközök Cluster-be vannak szervezve. Cluster információk: Switch-ek: 21. ábra A jelenlegi hálózat aktív eszközei 43

45 Amint a 21. ábrán is látható, a Mondi Bags Hungária Kft számítógépes hálózatát kizárólag Cisco switch-ek vezérlik. Így a meglévő hálózat aktív eszközeinek bővítése után az L2 roaming tökéletesen működik. 9.2 Új eszközök címkiosztása Új eszközök címzése: Eszköz Host Name IP cíp Cisco Catalyst 296G-24TC-L n-mondi-sw Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap Cisco AIR-AP1242AG-E-K9 n-mondi-ap A mobil adatgyűjtők stabil, folyamatos hálózati kapcsolati működésének érdekében, továbbá a L2 roaming miatt az eszközöket statikus IP címmel kell ellátni. A Symbol scannerek címei: 11 db Symbol MC99-G Scanner:

46 1 Egyéb a biztonságos üzemeltetést szolgáló intézkedések A Mondi Bags Hungária Kft központi szervere (NGYFP1) MS Windows 23 szerver, amelyen konfigurálva van a DHCP szolgáltatás. A hálózati aktív eszközök, az Access-Point-ok és a mobil adatgyűjtők statikus IP címmel rendelkeznek. A beállítások dokumentálása végett a DHCP-ben konfigurálom a fent felsorolt eszközök címeit. Ez azért előnyös, ha a későbbiekben bármilyen oknál fogva meg kell találni egy adott eszközt a hálózaton, akkor nagyban lerövidíthető a keresés ideje. Ha valamelyik eszközből bármilyen okból törlődnek a hálózati beállítás paraméterei, akkor a dhcp-től megkapja a címét, beállításait. 45

47 A Cisco AIR AP1242-AG Access-Point -ok konfigurálása, programozása után a startup config beállításokat egyenként elmentem, egy erre a célra kialakított ftp könyvtárba a központi szerveren. Erre szintén biztonsági okokból van szükség, mivel így bármikor betölthető bármelyik AP re a működő startup config ja. Ez az eljárás arra az esetre is alkalmazható, ha meghibásodás miatt valamelyik AP helyére cserekészüléket kell felszerelni. 46

48 11 Összegzés A dolgozatom témája a Mondi Bags Hungária Kft Nyíregyházi Zsákgyár telephelyén létesítendő vezeték nélküli hálózat tervezése, megvalósíthatóságának vizsgálata volt. Ez egy valós projekt, ami a dolgozatom készítése közben ténylegesen kiépítésre kerül. Így a szakdolgozatban leírtakat a valóságban nyomon lehet követni. Sajnos a dolgozat leadásáig a hálózat nem készült el teljes mértékben, ezért a kész hálózatról mérési eredményekről nem tudtam beszámolni a dolgozatomban. Az azonban megállapítható, hogy a hálózat az elvárt követelményeknek teljes mértékben megfelel: Lefedi a megrendelő által megjelölt területeket Az alapanyag raktárban a papírtekercsek között is stabil hálózatot biztosít Mobilitást nyújt a Symbol scannerek részére L2 es roaming segítségével. Biztonságos hálózati kapcsolatot létesít a kliensekkel, továbbá védett az illetéktelen behatolási próbálkozásokkal szemben (SSID No Broadcast + WPA/TKIP + MAC filter) Hálózati eszközök meghibásodása esetén gyors hibajavítási lehetőség (DHCP, ftp-n startup config). Itt jegyzem meg, hogy az aktív eszközökből 1 db tartalék beszerzését javaslom. Mindezek figyelembevételével elmondható, hogy a Megrendelő egy stabilan, nagy biztonsággal működő vezeték nélküli hálózatot kap, amely szerves részeként beleilleszkedik a meglévő vezetékes hálózatába. Az aktív eszközök felügyeletét a Cisco Network Assistant v5.5 szoftver segítségével végzem. Ezzel a programmal a Cisco switch-ek és AP k teljes körű felügyelete biztosított. 47